정보보호 제품을 판매하기 위해 각종 인증을 받는 데만 1년 반이나 소요돼 정보보호업계의 불만이 고조되고 있다. 특히 적체를 해소하기 위해 복수 평가기관까지 선정됐지만 15개 평가반을 운영하는 한국정보보호진흥원에만 20여개 업체가 평가 대기 중인 실정이다.
5일 관련 업계에 따르면, 작년 8월 한국산업기술시험원(KTL 원장 홍종희)과 한국시스템보증(대표 조대일)이 국제공통평가기준(CC) 인증기관으로 활동을 시작했지만 아직 1호 인증 제품도 나오지 않은 실정이다.
민간 평가업체 관계자는 “당초 지난달까지 평가 작업을 마치려 했으나 예상치 못했던 문서 작업 및 제품 성능 오류 등의 문제가 발생한데다, 첫 민간 인증인만큼 국정원도 까다롭게 대하고 있어 평가가 지연되고 있다”고 말했다.
이에 따라 민간 평가기관 설립에 따라 정보보호 기업들의 CC 평가 인증 시간이 단축되리란 기대도 아직은 현실화되지 않고 있다. CC 평가 계약 후 대기에 보통 7개월, 심사에 6개월씩 걸리고 CC 인증 이후 공공기관 납품에 필요한 국가정보원 보안적합성검증에 추가로 4∼6개월씩 걸려, 제품 개발 후 납품까진 적어도 1년 반은 소요되는 상황이다.
정보보호 업계 관계자는 “평가 인증 준비에 중소기업으로선 부담스러운 자금과 인력이 투입되지만 정작 인증이 늦어지면서 적절한 시장 진입 시점을 놓치는 사례가 많다”며 “평가 일정 지연은 공공 영업 차질로 이어진다”고 말했다.
민간 기관인 한국시스템보증은 최근 평가 인력을 채용하고 조직 확대에 나섰지만 지식경제부 산하 기관인 KTL은 인력 수급도 정부의 통제를 받기 때문에 평가 인력 확보도 쉽지 않은 상황이다.
이런 문제에 대응, 국정원 IT보안인증사무국은 최근 선임평가원 1명이 2개 평가반을 관장할 수 있도록 규정을 완화했다. 또 CC평가 경험이 있는 전문가가 음성적으로 시행하던 평가 자문을 양성화, 자문을 받은 업체는 평가 기간을 단축하는 방안도 검토 중이다.
한세희기자@전자신문, hahn@